О взломе сообщил пользователь Reddit с ником blockchainified. Биржа не отрицает этот факт.
Утором 14 октября пострадавший обнаружил в своём ящике несколько сотен писем от биржи COSS. Сообщалось о попытках неудачного входа в аккаунт, который был защищён с помощью двухфакторной идентификации.
Проверка остатка показала, что счёт пуст. Активы (14 ВТС, 22 ЕТН, 11 700 000 токенов COSS и 19 000 EOS) были проданы на неликвидных рынках по низким курсам. Вопреки рекомендациям пользователь хранил средства на бирже. Дело в том, что он получал доход от комиссий, который COSS выплачивала держателям своих токенов.
Биржа прокомментировала ситуацию в своём блоге. Её представители утверждают, что серьёзно относятся ко всему, что связано с безопасностью пользователей.
Проведённое расследование показало, что пароль пользователя стал известен злоумышленникам за пределами биржи.
Метод взлома вызвал недоумение
Сначала 4 раза был введён пароль. После этого он был принят системой. Далее был сгенерирован ключ для двухфакторной аутентификации. Логи писем показали, что 2FA-ключ подставили путём брутфорса. Перед этим был произведён перебор 25 000 вариантов.
Непонятно, почему биржа позволила это сделать. Ситуация, когда пользователь неправильно вводит пароль/2FA-код, после чего месяцами не может получить доступ к аккаунту, является более типичной.
Хакер не смог с первой попытки вывести EOS, поскольку имели место перебои в работе ноды. CEO биржи Рун Эвенсен сообщил, что удалось вернуть около 11 млн украденных COSS.
Биржа установила ограничение на количество попыток ввода 2FA-ключа. После нескольких раз появляется сообщение 2FA_LIMIT.
Ранее мы писали о том, что Bitfinex запустит платформу для проведения токенсейлов.
Не купил крипту по низу рынка?
Не беда, есть шанс выиграть в криптоказино! Тренируйся бесплатно и выигрывай криптовалюту в рекомендованных казино! Наш сайт wheretospin.com предлагает не только лучшие обзоры казино, но и возможность выиграть крупные суммы в увлекательных играх.
Присоединяйся прямо сейчас и начни путь к финансовой свободе с нами!